Каталог ядра в открытом доступе modx revo как исправить
Доброго дня.
После установки MODX Revo 2.4.0-pl
Вот такое предупреждение:
Переименование «ht.access» в «.htaccess» не помогло.
Комментарии: 19
Если не поможет (например, на TimeWeb не работает), то два варианта:
1. Простой: убрать виджет «Проверка конфигурации» с панели (не рекомендуется)
2. Радикальный: вынести директорию core за пределы public_html или что там у Вас.
Естественно, поменять пути в следующих файлах:
config.core.php
connectors/config.core.php
core/config/config.inc.php
manager/config.core.php
Ну и почистить core/cache.
Илья Уткин пишет:
Сначала проверить, что у вас не открывается в браузере файл /core/cache/logs/error.log, а потом просто удалить файл changelog.txt
Хостинг beget.ru — что б его. храни его Бог.
а htaccess переименовали в какой папке? он есть в корне, но нужно так же переименовать и тот, который внутри /core/
Исправление ошибки «Каталог ядра в открытом доступе» в MODX 2.5
Всем привет! Недавно я сталкнулся с проблемой, а именно у меня возникала ошибка «Каталог ядра в открытом доступе» в MODX 2.5. Разработчики CMF добавили эту проверку вроде бы с версии 2.4, она связанна с безопасностью сайта.
Дело в том, что если не исправить данную ошибку, то злоумышленник сможет украть у Вас данные к БД, ну или узнать версию MODX. Так что лучше исправить эту проблему.
Начнем с простого
Для начала, давайте начнем с самых простых вещей, которые указаны в самой ошибки. Первым делом необходимо переименовать уже имеющийся там файл в папке /core «ht.access» в «.htaccess» и очистить кэш.
Начиная с версии 2.5, содержимое «.htaccess» выглядит так:
Не помогло? Вот и мне не помогло :D, когда я пытался решить эту проблему с переносом сайта на другой хостинг.
Дело в том, что большинство хостинг компаний, используют следующую схему работы, при которой запросы к статичным файлам (в частности txt) обрабатываются с помощью Nginx, а остальные запросы передаются Apache.
Поэтому файл «.htaccess» не может использоваться для отключения доступа к статическим файлам, так как он обрабатывается только на уровне Apache. А MODX как раз-таки и проверяет файл (/core/docs/changelog.txt)
UPD. На некоторых сайтах использую
Можно ещё проще, нужно проверить, что не открывается в браузере файл /core/cache/logs/error.log, а потом просто удалить или переименовать файл /core/docs/changelog.txt
Второй метод справления ошибки «каталог ядра в открытом доступе»
Что же делать? Как решить проблему «каталог ядра в открытом доступе«? Всё очень просто, для этого нужно перенести /core за пределы публичной части сайта (public_html).
Также меняем путь к папке /core в файлах:
И вручную удаляем содержимое папки /core/cache. Саму папку cache не удаляем! Вот и всё, мы исправили проблему «каталог ядра в открытом доступе» в MODX
Если у Вас возникли вопросы, задавайте через форму ниже.
Ошибки при обновлении Modx Revolution
Обновить MODX Revolution до актуальной версии не сложно, но многие пренебрегают этим. В новые версии движка включают исправления ошибок и устранение уязвимостей, поэтому откладывать обновление в долгий ящик не стоит.
В первую очередь перед обновлением сделайте резервную копию всех файлов сайта и базы данных. Это требуется чтобы в случае неудачного обновления сделать откат.
Скачайте актуальную версию MODX Revolution (Traditional). Распакуйте архив и закачайте его содержимое на хостинг, перезаписывая старые файлы движка. Затем начинаем установку.
В параметрах установки ставим галочку «Обновление существующей установки» и нажимаем «Далее». По идее, всё должно нормально обновиться. На практике иногда встречаются проблемы.
Ошибки при обновлении MODX
В самом начале обновления MODX может появится ошибка:
Нас просят прописать в файле конфигурации php.ini временную зону:
И действительно, при первичной инсталляции MODX Revolution после этого установка шла дальше, а вот при обновлении почему-то проблема не решилась. Причину я так и не нашел, возможно, требуется прописать timezone где-то ещё.
Самый простой вариант обойти эту ошибку — в начале файла установщика MODX (/setup/index.php) прописать код:
После решения этой проблемы на следующем шаге обновления MODX Revolution я столкнулся с ещё одной ошибкой:
Ошибка обновления таблицы для класса modTemplateVar
Array (
[0] => 42S21
[1] => 1060
[2] => Duplicate column name ‘input_properties’ )
Решилась проблема так, из каталога «/core/packages/» удаляем папку core и пробуем ещё раз пройти этот пункт установки/обновления MODX. Мне помогло.
Данное решение так же помогает при следующей ошибке:
Возможно также возникновение ошибок, связанных с правами на каталоги, но на них я заострять внимание не буду, они быстро решаются установкой нужных прав (через терминал, FTP или SSH клиент).
Предупреждение «Каталог ядра в открытом доступе»
Несмотря на это, предупреждение об открытом каталоге ядра часто не пропадает. Это происходит из-за того что MODX осуществляет проверку с помощью доступности файла «/core/docs/changelog.txt», но есть проблема. На многих хостингах за отдачу изображений и текстовых файлов отвечает не apach, для которого созданы правила в htaccess, а nginx. Соответственно, текстовый файл будет доступен несмотря на запрет. В этом нет ничего страшного. Следует проверить доступность других важных файлов, например «/core/cache/logs/error.log», а файл «changelog.txt» просто переименовать или удалить.
После обновления ресурсы отдают 500 ошибку
Если после обновления MODX до версии 2.5.1 в панели администрирования невозможно отктыть ресурсы, то попробуйте удалить визуальный редактор TinyMCE.
Сделать это можно в разделе управления пакетами. В качестве замены рекомендуется использовать TinyMCE RTE или вовсе отказаться от редактора и использовать Ace с подсветкой html синтаксиса.
Защищаем MODX Revolution
Привет, друзья!
Немало статей написано и переписано о том, как защитить MODX, но в этой статье я опишу не только стандартные рекомендации по защите инстанса MODX Revolution (далее я буду писать просто MODX, потому что ветка MODX Evolution — это тупиковая ветвь «эволюции» являющаяся рудиментом не заслуживающим внимания современных разработчиков), но и некоторые новые методы «заметания следов».
Итак, начнем самого важного.
Существует две разновидности установщика MODX — это Traditional и Advanced.
Какая между ними разница?
Traditional — это простой вариант установки на любой хостинг соответствующий рекомендациям для установки MODX, где ядро устанавливается прямо в корень публичной папки сайта. Незатейливые «сайтоклёпы» ставят версию Tradtiional, не закрывают директории от просмотра и в итоге всё содержимое сайта, в т.ч. служебных директорий, попадает в индекс поисковиков. Не станем фантазировать на тему, к чему это может привести. Здесь всё понятно.
Advanced — версия для парней, которые, как минимум «смотрели кино про нидзей». Этот вид установщика позволяет разместить ядро MODX вне публичной папки, спрятав его от посягательств злоумышленников. Для серьезных проектов это рекомендуемый вариант, но лично я его использую всегда.
Защита ядра
Защитить ядро можно двумя способами:
2. На дурацком хостинге — переименовать каталог ядра воспользовавшись, например, генератором паролей (без спецсимволов, конечно же — только буквы и цифры) И во время установки указать физический путь к каталогу ядра. Именно поэтому лучше использовать Advanced установщик.
Защита служебных каталогов
Не секрет, что кроме каталога ядра, другие служебные каталоги должны остаться в публичной папке сервера.
Что нам сделать для защиты от попыток взлома через коннекторы и попыток проникнуть в админку? Стандартные наименования каталога коннекторов /connectors, а для админки — /manager, и это палево.
Во время установки вам будет предложено изменить эти названия. В этом нам поможет, правильно, — генератор паролей и, как ни странно, в случае с админкой собственная голова. Название каталога админки лучше сделать человекопонятным, но не /admin, конечно же 🙂
Возможно, вы захотите спросить: Почему мы не прячем /assets?
И, возможно, я отвечу: А зачем? Все картинки и скрипты лежат в /assets, а в коде страницы есть все ссылки на картинки и скрипты 🙂
Защита таблиц БД
Во время установки, в настройках БД, по умолчанию предлагается префикс таблиц «modx_». Так дело не пойдет. И вновь нам поможет генератор паролей (Помнишь, товарищ? Только из букв и цифр!). Меняем стандартный префикс на кракозябры, в конце которых ставим нижнее подчеркивание. Например, «IU1xbp4_».
Защита от определения CMS
Сервисы автоматического определения CMS сайтов, конечно, не в курсе, что MODX — это CMF, но это не мешает им определить, что контентом на сайте рулит именно MODX. Казалось бы, мы уже спрятали всё что надо. А вот и нет.
Первым делом, при установке MODX Revolution необходимо отключить чекбокс «X-Powered-By», который включен по умолчанию (на картинке ниже). Это необходимо для того, чтобы MODX не «палился», отправляя в заголовках информацию о том, что сайт сделан на MODX.
Если сайт уже установлен, то проверить этот параметр можно в системных настройках по адресу: домен_вашего.сайта/manager/?a=system/settings
И в поле «Поиск по ключу» ввести «send_poweredby_header» или просто «header» и нажать Enter на клавиатуре. Значение «send_poweredby_header» должно быть установлено как «Нет».
Кое-что ещё
Кроме описанных приёмов, можно применить небольшую хитрость, чтобы увести возможных злоумышленников по ложному следу. Некоторые «попсовые» CMS добавляли метатэги с указанием названия CMS:
Можно смело добавить в свой код такой тэг, и создать фэйковую стандартную страницу входа в админку указанной версии имитируемой CMS.
Автоопределялки будут интерпретировать наш MODX как WordPress, а если хулиганы захотят залезть в админку, то будут долго и нудно пытаться подобрать отмычки от простого замка к сканеру сетчатки глаза ( это метафора 🙂 ).
А что, если сайт уже установлен?
В час наименьшей нагрузки, переименуйте все указанные каталоги (/core, если позволяет хостинг, лучше вынести из паблика).
Смените префикс существующих, с помощью phpMyAdmin:
Проверить права и доступ (на каталоги 755, на файлы 644).
Запустить процесс установки.
Во время установки вам надо будет указать физический путь до каталога ядра.
ВАЖНО выбрать вариант установки «Расширенное обновление (с настройкой параметров базы данных)», потому что после ввода данных БД, появится диалог переименования каталогов.
Можно, конечно, было залезть в config.inc.php и отредактировать всё там. Но зачем что-то делать, если этого можно не делать? 🙂
На этом всё. Если информация из этой статьи окажется Вам полезной — супер. Если захотите что-то спросить, добавить или просто поумничать — вэлкам в коменты!
5 способов обезопасить сайт на MODX
Люди думают, что безопасность — это существительное, что-то, что можно купить. На самом же деле безопасность — это абстрактное понятие, как счастье.
James Gosling
Разработчики MODX Revolution постоянно ведут работу над улучшением безопасности создаваемой ими системы. Тем не менее, со стороны создателя сайта тоже должны быть приложены определённые усилия, чтобы безопасность сайта оставалась на должном уровне.
Несмотря на то, что никто не может гарантировать абсолютной защиты, в наших силах усложнить злоумышленникам задачу по усложнению вашей жизни. И в этой статье я расскажу о простых, но эффективных способах защитить свой сайт.
1 Перемещение ядра
Начиная с версии 2.4 MODX выводит на главной странице панели предупреждение, если каталог ядра находится в открытом доступе. Несмотря на это, данный совет является актуальным для любого веб-проекта — ядро приложения должно располагаться в максимально недоступном для злоумышленников месте.
Чем грозит расположение каталога ядра в доступном месте?
Решение
Давайте рассмотрим это на простом примере. Допустим, сайт расположен по следующему адресу:
Как видим, ядро MODX лежит здесь:
Проблема в том, что каталог core находится на одном уровне с файлами, доступными обычным посетителям сайта. Самый простой вариант решения проблемы — перенос каталога с ядром MODX выше по дереву файловой системы. Сделать это проще всего по SSH или с помощью файлового менеджера, предоставляемого хостингом или панелью управления вроде ISP Manager. Итак, после перемещения каталога ядра его новым расположением будет следующий путь:
Важно после данных манипуляций обновить файлы конфигурации MODX, указав в них новый путь до ядра MODX. Список файлов следующий:
Как раз недавно я случайно наткнулся с данной проблемой на одном сайте, который работал на какой-то CMS (если это творение вообще можно назвать CMS), написанной на коленках во время концерта Стаса Михайлова.
2 Изменение адреса панели
Обычно административная панель сайта на MODX находится по адресу https://site.ru/manager. Немного замести следы пребывания MODX помогает перемещение админки, а сделать это проще простого — достаточно переименовать сам каталог (например, из manager в admin или abrakadabra), а затем указать новый путь в одном файле конфигурации:
3 Обновляйте дополнения
Даже если функционал текущих версий дополнений полностью устраивает, это ещё не значит, что нет причин для обновлений. Как известно, новые версии ПО несут с собой не только новые возможности, но и различные исправления ошибок (хотя новые ошибки тоже обычно идут в комплекте).
4 Обновляйте MODX
Как я уже писал выше, разработчики MODX постоянно работают над обеспечением безопасности MODX, поэтому рекомендуется периодически обновлять MODX до последнего стабильного выпуска.
5 Разделяй и властвуй
Если над сайтом работает несколько человек, то крайне рекомендуется настроить для каждого пользователя минимально необходимые права доступа. Ведь нет никакого смысла в том, чтобы контент-менеджер имел доступ к настройкам системы или сниппетам с чанками.
Даже если у контент-менеджера не зачешутся ручки, чтобы поковыряться в работе системы, может объявиться злоумышленник, который, воспользовавшись некомпетентностью пользователя, сможет перехватить доступ в админку. Это особенно актуально, если работа с сайтом ведётся через незащищённое соединение, вследствие чего логин и пароль передаётся по сети в открытом виде. Для уменьшения риска перехвата пароля рекомендуется приобрести и установить SSL-сертификат, тогда все запросы будут передаваться в зашифрованном виде.